Was ist Phishing?

Phishing

Einmal nicht aufgepasst, und schon sind die eigenen Zugangs- oder Kreditkartendaten Cyberkriminellen in die Hände gefallen. Das kann leider jedem passieren, denn mit Phishing haben Betrüger ein wirkungsvolles Mittel in der Hand, um nichtsahnende Internetnutzer zu überlisten.

Was ist Phishing?

Beim Phishing nutzen Cyberkriminelle gefälschte Websites, um sensible Informationen zu erbeuten. Diese Form des Online-Betrugs läuft meistens so ab: Eine fingierte E-Mail von scheinbar offizieller Stelle lockt den Nutzer auf eine Fake-Website, die dem Original täuschend ähnlichsieht. Wenn er dort seine Zugangsdaten eingibt, fallen sie den Betrügern in die Hände.

Prinzipiell kann diese Form der Täuschung zum Erbeuten jeglicher Art von Zugangsdaten genutzt werden, in der Praxis haben es die Phisher jedoch hauptsächlich auf Online-Banking-Logins, Kreditkartendaten und die Anmeldedaten von Bezahldienstleistern wie PayPal abgesehen. Üblicherweise wollen sich die Betrüger nämlich bereichern. Daher gehen sie keine Umwege, sondern greifen direkt dort an, wo Geld zu holen ist.

Phishing vorbeugen

Der beste Rat, um Phishing vorzubeugen, lautet: Zuerst denken, dann klicken! Wer seinen gesunden Menschenverstand einsetzt und der Versuchung widersteht, trotz Misstrauen auf einen Link zu klicken oder gar seine Zugangsdaten auf einer Website einzugeben, tut schon sehr viel, um sich vor Cyberkriminellen zu schützen.

An diese sieben Verhaltensregeln sollten Sie Sich halten, um Phishing vorzubeugen:

  1. Beachten Sie die Sicherheitswarnungen Ihres Browsers und Ihres Antivirusprogramms. Wenn Sie benachrichtigt werden, dass eine Website schädlich sein könnte, sollten Sie sie nicht öffnen und auf keinen Fall sensible Informationen dort eingeben.
  2. Vergewissern Sie sich vor jeder Eingabe von sensibler Information, dass die Verbindung wirklich sicher ist. Die URL sollte mit „https://“ beginnen, in oder neben der Adresszeile Ihres Browsers muss ein geschlossenes, grünes Vorhängeschloss zu sehen sein.
  3. Seien Sie besonders vorsichtig, wenn eine Website Sie per E-Mail unter einem Vorwand dazu auffordert, ihr Passwort auf einer Webseite einzugeben. Solche Aufforderungen werden von legitimen Anbietern üblicherweise nicht verschickt.
  4. Füllen Sie auf keinen Fall Formulare mit sensibler Information aus, die Ihnen direkt als E-Mail oder als Anhang zugesandt werden. Es handelt sich dabei so gut wie immer um Phishing. Verantwortungsvolle Anbieter versenden niemals solche Formulare, da per E-Mail keine sichere Datenübertragung gewährleistet ist.
  5. Halten Sie Ihr Betriebssystem, Ihren Browser und Ihr Antivirenprogramm immer aktuell. Updates schließen nämlich Sicherheitslücken, durch die Malware auf ihr System gelangen kann, die für Phishing-, Pharming- und Man-in-the-Middle-Angriffe genutzt wird.
  6. Wenn Sie sich nicht sicher sind, ob es sich bei einer Nachricht um eine legitime Zusendung oder einen Phishing-Versuch handelt, können Sie auch zum Telefon greifen und direkt beim angeblichen Absender nachfragen, ob solche E-Mails versandt wurden.
  7. Überprüfen Sie die Kontoauszüge Ihrer Bankkonten und Kreditkarten regelmäßig. Damit beugen Sie Phishing zwar nicht vor, erkennen aber Vorfälle frühzeitig und verhindern so größeren Schaden.

Phishing erkennen

Es kann schwierig sein, Phishing zu erkennen, da die Betrüger oft sehr gut darin sind, die Original-Websites zu imitieren. Sie übernehmen Logos, Schriftarten und das gesamte Corporate Design.

Einen guten Hinweis gibt oft die Sprache. Schon die Spam-Nachrichten, mit denen die Cyberkriminellen ihre Opfer auf Phishing-Websites locken, fallen häufig durch schlechtes Deutsch auf. Eine Häufung von unpassenden Ausdrücken und Fehlern ist ein deutliches Anzeichen dafür, dass eine Nachricht nicht vom vorgeblichen Absender stammt. Das liegt daran, dass Cyberkriminelle oft international agieren. Während es ihnen leichtfällt, das Original-Design zu fälschen, scheitern sie beim Text an mangelhaften Deutschkenntnissen. Auch das Fehlen von Umlauten, die sich mit einem fremdsprachigen Tastaturlayout nur schwer eingeben lassen, ist ein Hinweis auf Phishing.

Um Phishing zu erkennen, lohnt sich ein genauer Blick auf die URL. Diese ähnelt beim klassischen Phishing zwar der URL der Zielseite, gleicht dieser aber nicht vollständig. Phishing-Websites verwenden URLs, die entweder phonetisch (beispielsweise durch die Verwendung von „ä“ statt „ae“ im Domin-Namen) oder optisch (durch die Nutzung von ähnlich aussehenden Zeichen aus anderen Alphabeten) dem Original ähneln.

Zugangsdatenklau ohne gefälschte Websites

Moderne Varianten des Phishings lassen sich aber auch durch einen genauen Blick auf die URL nicht enttarnen. Bei einem sogenannten Man-in-the-Middle-Angriff klinken sich die Betrüger in die Kommunikation zwischen dem Rechner des Kunden und der Bank ein. Der Nutzer gibt seine Daten auf der völlig unverdächtigen Bankwebsite ein, diese kommen aber nie bei der Bank an, sondern werden unterwegs vom Angreifer abgefangen. Für solche Angriffe ist meist die Installation von Malware auf dem Rechner des Kunden erforderlich.

Man-in-the Middle-Angriffe können Online-Banking-Nutzer normalerweise nicht erkennen, aber das eTAN-Verfahren schützt sie vor Schaden dadurch. Dabei erzeugt ein TAN-Generator bei jeder Transaktion aus den Empfängerdaten und anderen definierten Informationen wie beispielsweise der Uhrzeit eine nur kurzfristig gültige TAN (Transaktionsnummer), deren Gültigkeit die Bank überprüft. Bei diesem Sicherheitsverfahren müssten Angreifer in den physischen Besitz des TAN-Generators gelangen, um Geld vom Konto des Opfers zu stehlen, weil sie auch mit einer abgefangenen TAN kein Geld überweisen könnten.

TAN Generator
Vergrößern
Ein TAN-Generator (Vordergrund) ist deutlich sicherer als eine TAN-Liste (Hintergrund).

Pharming ist das neue Phishing

Beim Pharming werden die Domainname-Abfragen des Browsers manipuliert. Dann sieht der Nutzer in der Adresszeile des Browsers zwar die völlig unverdächtige Original-URL, der Netzwerkverkehr wird aber auf eine andere Website umgeleitet. Auch solche Angriffe können mit Malware auf dem Computer des Opfers durchgeführt werden, eine Manipulation an anderer Stelle ist ebenso möglich. Täter könnten zum Beispiel eine Sicherheitslücke des WLAN-Routers ausnutzen.

Um sich vor Pharming zu schützen, müssen Internet-User auf eine SSL-Verschlüsselung der Verbindung achten. Diese erkennen sie daran, dass die Adresse mit „https://“ beginnt. Alleine darauf sollten sie sich jedoch nicht verlassen. Bei einer SSL-Verbindung bestätigt nämlich ein Zertifikat, dass die angezeigte URL echt ist. Da sich diese Zertifikate sehr leicht fälschen lassen, ist die digitale Signatur einer vertrauenswürdigen Drittpartei notwendig, um die Echtheit eines solchen zu bestätigen. Moderne Browser nehmen diese Echtheitsprüfung automatisch vor und warnen den Anwender, falls keine vertrauenswürdige Signatur vorhanden ist. Die meisten Browser zeigen ein geschlossenes Vorhängeschloss in der Adresszeile an, um eine sichere Verbindung zu signalisieren. Die Schwachstelle ist hier sehr oft der User, der lästige Warnungen seines Browsers gerne wegklickt.

Die wichtigsten Merkmale von betrügerischen Websites

Mit diesen Merkmalen erkennen Sie Phishing und verwandte Formen des Online-Betrugs

  • Fehlerhaftes Deutsch ist oft ein Hinweis auf Phishing.
  • Die URL entspricht nicht derjenigen der Originalseite, ist ihr aber sehr ähnlich.
  • Warnt der Browser vor einem ungültigen SSL-Zertifikat, deutet dies auf Pharming hin.
  • Man-in-the-Middle Angriffe lassen sich kaum erkennen, das eTAN-Verfahren beugt aber Schäden vor.

Schäden durch Phishing

Zum Schaden, der durch Phishing in Deutschland entsteht, hat das BKA (Bundeskriminalamt) ganz konkrete Zahlen. Im Jahr 2016 hat die Behörde laut aktuellem Bundeslagebild Cybercrime 2.175 Fälle von Phishing im Online-Banking erfasst. Der gesamte finanzielle Schaden betrug 8,7 Millionen Euro. Als durchschnittliche Schadenssumme nennt das BKA 4.000 Euro pro Fall. Für Täter ist diese Form des Betrugs also durchaus lukrativ.

Den Opfern drohen nicht nur finanzielle Verluste. Auch mit Identitätsdiebstahl sowie Ruf- und Kreditschädigung müssen sie sich auseinandersetzen. Herauszufinden, wofür die gestohlenen Login-Daten missbraucht wurden und die beteiligten Parteien, also beispielsweise die Bank und Online-Händler, über die Vorgänge zu informieren, ist für Opfer sehr zeitaufwändig und belastend. Während die Aufklärung und Schadensminimierung bei Phishing große Mühen bereitet, kann jeder Internet-User mit einfachen Präventionsmaßnahmen (siehe oben) verhindern, dass er zum Opfer wird.